Dina pameungpeuk iklan Adblock Plus kerentanan, ngatur palaksanaan kode JavaScript dina konteks situs, dina kasus ngagunakeun saringan unverified disiapkeun ku panyerang (contona, nalika nyambungkeun susunan pihak-katilu aturan atawa ngaliwatan substitusi aturan salila serangan MITM).
Panulis daptar sareng set saringan tiasa ngatur palaksanaan kodena dina konteks situs anu dibuka ku pangguna ku cara nambihan aturan sareng operator "", nu ngidinan Anjeun pikeun ngaganti bagian tina URL. Operator nulis ulang teu ngidinan Anjeun pikeun ngaganti host dina URL, tapi ngidinan Anjeun pikeun bebas ngamanipulasi argumen pamundut. Ngan téks anu tiasa dianggo salaku topéng gaganti, sareng substitusi skrip, objék sareng tag subdocument diidinan .
Sanajan kitu, palaksanaan kode bisa dihontal dina workaround a.
Sababaraha situs, kalebet Google Maps, Gmail, sareng Gambar Google, nganggo téknik ngamuat blok JavaScript anu tiasa dieksekusi sacara dinamis, dikirimkeun dina bentuk téks bulistir. Upami server ngamungkinkeun alihan pamundut, teras neraskeun ka host anu sanés tiasa dihontal ku cara ngarobah parameter URL (contona, dina konteks Google, alihan tiasa dilakukeun ngaliwatan API ""). Salian host anu ngamungkinkeun alihan, serangan ogé tiasa dilaksanakeun ngalawan jasa anu ngamungkinkeun ngeposkeun eusi pangguna (kode hosting, platform postingan artikel, jsb.).
Metodeu serangan anu diusulkeun ngan mangaruhan halaman anu sacara dinamis ngamuat string kode JavaScript (contona, via XMLHttpRequest atanapi Fetch) teras laksanakeun. Watesan penting séjén nyaéta kedah nganggo alihan atanapi nempatkeun data sawenang-wenang di sisi server asli anu ngaluarkeun sumberdaya. Nanging, pikeun nunjukkeun relevansi serangan éta, nunjukkeun kumaha ngatur palaksanaan kode anjeun nalika muka maps.google.com, nganggo alihan ngalangkungan "google.com/search".
Perbaikan masih dina persiapan. Masalahna ogé mangaruhan pameungpeuk и . Pameungpeuk Asal uBlock henteu kapangaruhan ku masalah, sabab henteu ngadukung operator "tulisan ulang". Dina hiji waktos panulis uBlock Origin
tambahkeun pangrojong pikeun nulis ulang, nyarioskeun masalah kaamanan poténsial sareng larangan tingkat host anu henteu cekap (pilihan querystrip diusulkeun tibatan nyerat ulang pikeun ngabersihan parameter pamundut sanés ngagentosana).
Pangembang Adblock Plus nganggap serangan nyata henteu mungkin, sabab sadaya parobihan kana daptar standar aturan ditinjau, sareng nyambungkeun daptar pihak katilu jarang pisan diantara pangguna. Substitusi aturan via MITM dicegah ku pamakéan standar HTTPS pikeun ngundeur béréndélan blok baku (pikeun béréndélan séjén rencanana pikeun ngalarang ngundeur via HTTP dina release hareup). Directives bisa dipaké pikeun meungpeuk serangan di sisi loka (Kabijakan Kaamanan Kandungan), dimana anjeun sacara eksplisit tiasa nangtoskeun host tina sumber daya éksternal anu tiasa dimuat.
sumber: opennet.ru